乐趣区

关于csrf:怎么防止跨站请求伪造攻击CSRF

一、CSRF 是什么?

跨站申请伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF,是一种挟制用户在以后已登录的 Web 应用程序上执行非本意的操作的攻打办法。


二、理论攻打场景

上面用一个银行网站的转账性能,阐明攻打原理。备注:波及到 URL 等信息都是虚构。

1、登录账号
  • 失常登录了一家银行网站,查看其后盾信息后,没有退出登录;
  • 假如这家银行操作转账的 URL 是:

    https://bank.example.com/withdraw?account=AccoutName&amount=1000&for=PayeeName

2、歹意链接
  • 此时你看到其余网站的一个诱导链接,你下意识点开了;
  • 诱导链接中蕴含恶意代码(用 转账链接 代替 实在图片链接)

    <img src="https://bank.example.com/withdraw?account=Alice&amount=1000&for=Badman" />

3、攻打实现
  • 点击链接后,浏览器会关上 <img> 中 src 属性的链接来加载图片,但实际上执行了转账操作;
  • 转账申请所用电脑、浏览器、ip 等环境跟登录账号时的环境截然不同,银行网站后盾会认为这就是你自己在操作,所以验证通过,间接转账。

三、避免 CSRF 攻打

服务器端对申请做一次身份验证,回绝掉无奈通过验证的申请,即可形式 CSRF 攻打。

1、第一种办法:验证码

给手机发送数字验证码、图形化验证码让客户辨认、让用户再次输出账号密码等进行再次身份验证。


2、第二种办法:Token
  • Token 应用过程:

    1、服务器生成一个 CSRF token;2、客户端 (浏览器) 提交表单中含有 CSRF token 信息;3、服务端接管 CSRF token 并验证其有效性。
  • 原理阐明:

    攻击者有可能在下面客户端中拿到 CSRF token,然而攻击者只能应用 JavaScript 来发动申请,如果服务器不反对 CORS(跨域资源),那么攻击者的 跨域 JavaScript 申请 是会被服务器回绝,达到避免 CSRF 攻打目标。

  • Node.js 我的项目中举荐应用 csurf,具体应用办法,看这里!

四、参考文档
  • 怎么避免跨站申请伪造攻打(CSRF)?
退出移动版